Un chercheur en sécurité a découvert une technique intéressante, bien que partiellement développée, pour contourner les contrôles CSP (Content Security Policy) à l’aide de WordPress.

Le hack, découvert par un chercheur en sécurité Paulos Yibelorepose sur l’abus d’exécution de la méthode de même origine.

Cette technique utilise le remplissage JSON pour appeler une fonction. C’est le genre de chose qui pourrait permettre la compromission d’un compte WordPress mais seulement avec l’ajout d’un exploit de script intersite (XSS), que le chercheur n’a pas encore.

Yibelo a déclaré qu’ils n’étaient pas allés jusqu’à tenter l’astuce sur des sites en direct, limitant les exploits à un site de recherche de test qu’ils possédaient eux-mêmes.

« Je n’ai pas vraiment essayé car cela nécessite un utilisateur ou un administrateur WordPress connecté pour visiter mon site Web, j’installe donc le plugin et j’ai une injection HTML – ce qui est illégal », a expliqué Yibelo, ajoutant qu’ils n’avaient pas essayé. pour exploiter le bug dans la nature sur les sites de bug bounty non plus.

Le chercheur a ajouté qu’il l’avait signalé à WordPress il y a trois mois via HackerOne. Après avoir échoué à obtenir une réponse, Yibelo a rendu public les conclusions par le biais d’un article de blog technique.

Fin de partie finale

Les attaques sont potentiellement possibles dans deux scénarios : 1) les sites Web qui n’utilisent pas directement WordPress mais qui ont un point de terminaison de WordPress sur le même domaine ou sous-domaine, et 2) un site Web hébergé sur WordPress avec un en-tête CSP.

L’impact potentiel est grave, comme l’explique le billet de blog de Yibelo :

Si un attaquant trouve une vulnérabilité d’injection HTML dans le domaine principal (ex : site Web1.com – pas WordPress,) en utilisant cette vulnérabilité, il peut utiliser un point de terminaison WordPress pour mettre à niveau une injection HTML inutile vers un XSS complet qui peut être augmenté pour effectuer [remote code execution] CRE. Cela signifie que WordPress n’importe où sur le site va à l’encontre de l’objectif d’avoir un CSP sécurisé.

a invité l’équipe de développement principale de WordPress à commenter la recherche. Pas encore de réponse, mais nous mettrons à jour cette histoire au fur et à mesure que nous en entendrons plus.

Yibelo a conclu : « J’espère que WordPress le résoudra afin que CSP reste pertinent sur les sites qui hébergent un point de terminaison WordPress. »

La politique de sécurité du contenu est une technologie définie par les sites Web et utilisée par les navigateurs qui peut bloquer les ressources externes et empêcher les attaques XSS.